近年來“網際網路+”和“數字化轉型”的浪潮，讓網路和資訊化應用空前繁榮。業務安全保障作為網際網路資產的最後一層防禦系統，也成為了安全市場的一顆明珠，深得企業和安全公司的關注。每個細分市場對技術和能力的需求不盡相同。本文主要就黑產變現最直接、最具規模效應的惡意機器人（Bot）流量展開，描述綠盟科技關於這一領域的判斷，並介紹現有的能力積累。

一、從垃圾郵件到薅羊毛的進化

實際上，Bot請求在網際網路誕生之初便已存在。例如搜尋引擎爬蟲，就給網際網路內容的分發和獲取帶來極大便利。然而，Bot技術作為一把雙刃劍，也正悄然給網際網路生態帶來嚴重威脅。在上世紀90年代，藉助Bot發起的垃圾郵件攻擊給當時的電子郵箱業務帶來不小的負面影響，嚴重妨礙了郵箱使用者的正常使用。結合當時的技術大環境，雖然很快透過圖形驗證碼的方式有效打擊了垃圾郵件的製造源頭，獲得了階段性的勝利，但如今惡意Bot的覆蓋面已經幾乎涉獵所有黑產的牟利場景，例如內容/競價爬蟲、黃牛黨、有組織的薅羊毛團夥等。

業務安全面臨的核心威脅來源於Bot管理能力建設的缺失及漠視。薅羊毛、爬蟲、撞庫、業務邏輯繞過等型別的Bot威脅在以往並未引起充分重視。

2014-2019年Bot請求和人類訪問流量佔比趨勢圖

在鉅額利益的驅使下，Bot威脅相關技術正快速進步，逐步形成了如今我們能夠看到的：技術專業、分工合理、體系完備的黑產鏈條。在這個鏈條中的角色，可以大致分為三個位置，即上、中、下游，其中：

上游：提供各類安全基礎設施資源，主要包括貓池、代理IP、偽造身份資訊等，便於攻擊者進行各種客戶端資訊的偽裝。

中游：提供各類技術服務，自動化的搶購工具、撞庫工具、真人模擬請求工具，甚至出現了整合攻擊平臺，整合各類技術服務和裝置資訊偽造的各類資源，便於推廣給普通使用者。

下游：提供黑市交易、實物變現服務等，主要涉及資料黑市交易、薅羊毛實物商品變現等。

Bot攻擊和網路詐騙、業務欺詐等業務場景密切相關。有研究機構認為，早在2017年，因個人資訊洩露造成的經濟損失已超千億元，因網路欺詐導致的損失接近5000億元。

攻擊者的技術手段不斷更新，可以說，我們所要面對的Bot威脅，已經不再是一個透過驗證碼即能應對的簡單技術問題。隨著企業數字化轉型和業務的多元化發展，如商業爬蟲、廣告欺詐、資料洩露導致的賬號接管和精準詐騙，薅羊毛、賬號自動註冊，刷票刷粉等上百個業務威脅場景，更多Bot攻擊形態，已經呈現在我們面前。

高校作為一個典型行業，面臨著一系列、多種多樣的真實Bot威脅。例如透過教師郵箱系統撞庫，獲取教師許可權進行非法改分等。透過暴露的API結合爬蟲技術抓取學生的隱私資訊，進而實時精準詐騙，和校外培訓機構合作進行攬客，嚴重影響正常的教學秩序。更有甚者，將教師郵箱中的科研成果、涉密資訊販賣給境外情報機構。

2019年，惡意Bot流量在網路中的佔比已經達到了14年以來的最高峰值——接近全網請求的近四分之一。

可以說，惡意Bot流量已經幾乎無處不在。廣告、引流、定價、內容、羊毛、黃牛、惡意註冊等，每個行業都面臨著不同意圖的惡意行為。雖然每種攻擊的方式和目的因行業而異，但利用Bot技術是成功發起攻擊的必備技術手段，也是降低攻擊成本的最佳選擇。任何一種攻擊的發生，都會直接或間接給企業的經濟和聲譽造成損失，讓真實使用者流失。

以影響較為廣泛的撞庫攻擊為例，在源頭側，資料洩露的攻擊事件一直有增無減。2019年，全球發生了近5000次資料洩露事件，近百億條賬戶資訊外洩後，是各種黑產中間商的狂歡。越多的賬號撞庫事件發生，意味著更多的賬戶將面臨撞庫風險。

大力發展數字經濟，不僅帶來的業務形態和基礎設施的變化，同樣也給黑產更為廣闊的攻擊面。治理的前提，是維護系統的正常執行，保障真正客戶的正常使用者體驗。但與此同時，黑灰產早已進入高速進化狀態，高度擬人化的惡意機器人行為，分散式的手機惡意Bot遠控軟體，都意味著對抗的強度仍在逐步升級。

二、應對 Bot 威脅的五大階段與四項能力

基於綠盟科技業務安全團隊的多年調研、分析，我們認為，針對惡意Bot的發現和管理，會經歷如下五個階段發展：

第一階段：人機識別

能夠識別Bot流量及合法使用者請求，進行Bot緩解。

第二階段：全渠道防護

能夠識別基於瀏覽器、移動App、API防護的Bot，進行Bot緩解。

第三階段：Bot管理

根據訪問意圖區分好Bot及惡意Bot，給予訪問行為分析，識別Bot意圖，針對不同的意圖，提供多樣化的Bot管理處置策略，從而擊潰攻擊者的攻擊模式，如：告警、混淆、欺騙、阻斷、限流、延遲、快取等。

第四階段：黑產工具防護

攻防對抗可持續化，支援複雜攻擊鏈條中黑產工具、資料的檢測識別，提供與之相匹配的安全解決方案，確保客戶關鍵資料和業務的安全性。 

第五階段：人肉攻擊團伙識別聯動

在黑灰產攻擊場景中，結合情報、資料分析等多方面能力，提高集體防禦能力，為風控平臺補充賦能，增強偵測真人作弊行為能力，對抗黑灰產業鏈攻擊。

第一階段及第二階段的能力建設，目前已有的反爬蟲SDK或WAF 等產品已經基本可以滿足。但隨著對抗的深入，處於第三階段及第四階段的企業，應輔以更專業、能力更具針對性的閘道器類產品，透過對 Bot意圖的甄別，實現更精細化的管控及響應，並配合業務風控系統完成閘道器側資料能力的補充。

基於這一理念，綠盟科技近日已正式釋出了綠盟科技首款業務安全產品——綠盟業務安全閘道器產品（BMG）。該獨立的閘道器類業務安全產品，對客戶而言有如下四點價值：

(1)防止敏感資料洩露，如個人身份資訊等。

(2)減少業務資產風險，防止大規模薅羊毛、黃牛搶購事件發生。

(3)保障合法使用者的互動體驗，避免使用者流失，保護企業聲譽。

(4)支撐市場活動熱度，保障營銷費用定向投放，確保營銷資料真實性，為後續精準投放提供資料支援。

分析綠盟業務安全閘道器的價值主張，不難看出，產品設計的核心是圍繞Bot防護的第三階段進行。產品背後依託的是綠盟科技多年在安全領域累積的產品能力和對抗經驗，以及必要的技術支撐。

從能力角度，綠盟業務安全閘道器有如下四項關鍵能力：

能力一：基於硬體資訊生成裝置指紋

黑產團伙往往透過方便的一鍵新機+秒播兩個特性，直接繞過指紋和IP兩個建模的主鍵資訊，從而對抗客戶現有的各種風控和行為分析系統。而基於裝置底層特徵計算裝置指紋，能夠精準的跨瀏覽器標識追蹤客戶端裝置，裝置指紋不會再跟隨偽造的裝置資訊發生變化。將指紋插入請求頭後，風控系統可以方便的取得真實客戶端標識，最大程度上捕獲改機軟體、代理裝置發起攻擊的Bot請求。

能力二：全方位、立體的威脅情報支援

對威脅行為及攻擊團伙的威脅情報生產一直是綠盟科技多年來持續投入的重點方向。依託多個安全技術研究中心和安全實驗室，綠盟科技威脅情報中心可以同時保持對暗網和駭客論壇小時級的追蹤能力，從而累積了大量情報資料。不論是網路安全層面的漏洞、APT組織、惡意軟體，還是網路空間安全層面的攻擊團伙、黑產工具和殭屍主機，都進行了覆蓋。這種全方位、立體的威脅情報同時也為綠盟業務安全閘道器提供了重要知識支撐。

能力三：黑灰產活動行為特徵分析

在與黑產的對抗中，安全建模團隊圍繞業務需求，以風險事件事前防範為出發點，根據實時推送的一些明確參與黑產活動的流量資料分析，深入分析黑產行為特徵。目前，安全建模團隊已經具備了成熟的系統，能夠及時發現和預警黑灰產異常情況，且已在多家客戶上線運營，並申報多項創新案例。

能力四：代理與檢測更好的平衡

業務安全閘道器是一個很特殊的角色。對外，它承接了全部的業務請求資料，形成了統一的視角，可以看到更全面的攻擊資訊。對內，它又是一個代理裝置，加入了終端檢測的內容。如果代理和檢測的平衡把控不佳，將會影響到業務系統的正常執行。

恰好，綠盟科技在閘道器類產品經驗豐富，特別是WAF，業務安全閘道器與其無論是部署位置還是技術特性，乃至面對的業務情況，都非常相近。

事實上，綠盟業務安全閘道器作為剛釋出的新品，已經服務多個行業客戶。如某知名酒業公司代理商，在2019年爆發大規模薅羊毛事件，每天遭受數以百萬的機器自動化搶購，形成了票務收集、簡訊接碼、自動化搶購、實物變現等產業鏈路，給企業形象帶來嚴重負面影響，平均每天給黑產帶來的利潤約10萬元以上。在部署綠盟業務安全閘道器後，我們能夠幫助客戶每天攔截近百萬次的機器自動化搶購，每天攔截99.96%以上的自動化攻擊請求，保證80%的產品能被真實使用者搶購到。此外，透過事後的分析，綠盟業務安全閘道器還能協助對黑產組織的追蹤以及打擊。

三、結語

綠盟科技高度重視安全研究和技術創新，在基礎安全研究和前沿安全領域進行積極的探索。業務安全核心團隊更是在應用安全和業務分析領域專注10餘年，技術完全自主研發，幫助政府、金融、運營商等客戶解決了大量安全問題。並在多年Bot研究積累基礎上，形成了豐富的檢測規則，可以幫助客戶有效杜絕內容爬蟲/競價爬蟲，黃牛黨、有組織的薅羊毛團夥等Bot攻擊。

隨著各企業、單位對業務安全高度重視，綠盟科技針對業務安全這一細分領域推出業務安全閘道器這款產品，是國內現階段相對成熟的Bot攻擊防護產品。可以幫助客戶解決Web系統、業務平臺等Bot流量的管理以及安全防護、暴破、爬取使用者資訊，撞庫等安全問題。幫助客戶實現API請求防護和管控和對機器人流量管理。能夠透過對各個業務介面的保護，實現打擊竊取使用者隱私、撞庫、薅羊毛、黃牛黨等惡意行為，有效攔截自動化攻擊、針對API的手動引數篡改兩大攻擊方式，提升攻擊者的攻擊難度，保障業務系統穩定執行、實現業務能力提升。

業務安全閘道器不僅在技術上有著優勢，還作為唯一一家入選的安全廠商，獲得了2019年中國國際金融展金鼎獎的年度優秀金融科技解決方案和浦發銀行金融科技創新大賽提名獎，得到了金融行業的認可。

業務安全閘道器的推出不只是單單一款新品的釋出，更加意味著綠盟科技將全面進軍業務安全這一細分領域。整個業務安全團隊針對於Bot攻擊分析、程式碼審計、API安全等技術都有著深厚沉澱。後續將致力於業務安全方向推出多款基於業務安全方向的產品，打造業務安全整體解決方案。作為巨人背後的專家，綠盟科技將與各位客戶一道探索數字化轉型下的業務安全風險治理工作。為客戶的安全部門和業務部門提供協同平臺，不僅為業務部門進行技術賦能，還為安全部門帶來更多的決策參考，將風險從源頭進行遏制。